AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Aumentan los ataques de ransomware en Gipuzkoa: casi 2.000 incidentes en el último trimestre de 2025

admin

Introducción

El ransomware continúa consolidándose como una de las amenazas más persistentes y disruptivas en el panorama de la ciberseguridad española. Según el último informe publicado por ZIUR, el Centro de Ciberseguridad de Gipuzkoa dependiente de la Diputación Foral, durante el cuarto trimestre de 2025 se detectaron 1.951 incidentes relacionados con ransomware, lo que representa un incremento del 14,62% respecto al trimestre anterior. Este aumento refleja no sólo la sofisticación y profesionalización de los ciberdelincuentes, sino también la urgente necesidad de reforzar las medidas de defensa y resiliencia en los sectores más afectados.

Contexto del Incidente o Vulnerabilidad

El informe de ZIUR pone de manifiesto una tendencia ascendente en la actividad de ransomware, afectando principalmente a los sectores manufacturero, tecnológico, sanitario, de servicios al consumidor y construcción. Este incremento se enmarca en un contexto global donde los grupos de ransomware-as-a-service (RaaS) han ampliado sus operaciones, aprovechando vulnerabilidades conocidas y técnicas de doble extorsión para maximizar sus beneficios económicos y la presión sobre las víctimas.

El sector manufacturero lidera el número de incidentes, seguido de cerca por los sectores tecnológico y sanitario, en línea con las tendencias internacionales que señalan a la industria y la salud como objetivos prioritarios para los grupos de amenazas avanzadas (APT) y cibercriminales. La criticidad de estos sectores, sumada a la digitalización acelerada y, en muchos casos, a la obsolescencia de los sistemas, los convierte en blancos especialmente atractivos.

Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Durante este periodo, los grupos de ransomware han explotado principalmente vulnerabilidades conocidas en sistemas operativos y software empresarial, destacando las CVE-2024-4577 (vulnerabilidad crítica en servidores Windows SMB) y CVE-2025-1342 (vulnerabilidad de ejecución remota en dispositivos de red). Los ataques han seguido TTPs (Tácticas, Técnicas y Procedimientos) ampliamente documentadas en el framework MITRE ATT&CK, especialmente:

– T1190 (Exploitation of Public-Facing Application): explotación de servicios expuestos.
– T1071 (Application Layer Protocol): uso de protocolos HTTP/HTTPS para el comando y control.
– T1486 (Data Encrypted for Impact): cifrado de datos para extorsión.

Los IoC (Indicadores de Compromiso) identificados incluyen direcciones IP asociadas a infraestructuras de Cobalt Strike y Metasploit, hashes de ejecutables de ransomware como LockBit 3.0, BlackCat (ALPHV) y Play, así como dominios de C2 (comando y control) relacionados con campañas recientes detectadas en Europa.

Cabe señalar la creciente utilización de frameworks ofensivos como Cobalt Strike y Metasploit para el movimiento lateral y la escalada de privilegios, así como la automatización en la explotación de vulnerabilidades a través de scripts personalizados.

Impacto y Riesgos

El impacto de estos incidentes va más allá del cifrado de datos, abarcando la filtración y publicación de información sensible en la dark web como parte de las estrategias de doble y triple extorsión. Según ZIUR, el 68% de las víctimas sufrieron algún tipo de filtración de datos, con consecuencias directas en reputación, sanciones regulatorias (particularmente bajo el Reglamento General de Protección de Datos, GDPR) y pérdidas económicas. Se estima que el coste medio por incidente en la región ha superado los 170.000 euros, sin contar los costes indirectos derivados de la interrupción operativa.

Además, la exposición a riesgos de cumplimiento normativo se ha visto agravada con la entrada en vigor de la Directiva NIS2, que obliga a los sectores esenciales y digitales a incrementar sus capacidades de detección y respuesta ante incidentes.

Medidas de Mitigación y Recomendaciones

ZIUR recomienda una serie de estrategias técnicas y organizativas para mitigar el impacto del ransomware:

– Aplicar parches de seguridad de manera urgente, priorizando las CVE explotadas activamente.
– Revisar y limitar la exposición de servicios externos (RDP, VPN, SMB).
– Implementar segmentación de red y control granular de privilegios.
– Desplegar soluciones EDR/XDR para la detección proactiva de actividad maliciosa.
– Mantener copias de seguridad offline y realizar pruebas regulares de restauración.
– Monitorizar los IoC publicados y actualizar las reglas de detección en SIEM y sistemas IDS/IPS.
– Formar al personal en la identificación de correos de phishing y TTPs asociados al ransomware.

Opinión de Expertos

Expertos en ciberseguridad consultados por ZIUR subrayan la profesionalización del cibercrimen y la rápida adopción de nuevas técnicas de evasión, como la ofuscación de cargas útiles y el uso de canales cifrados para la exfiltración de datos. Según Jon Ander Arrieta, responsable de operaciones de ZIUR, “Estamos observando un ciclo iterativo en el que los atacantes ajustan sus tácticas en cuestión de días, lo que obliga a las organizaciones a mantener una vigilancia continua y una postura defensiva dinámica”.

Implicaciones para Empresas y Usuarios

El incremento en la frecuencia y sofisticación de los ataques de ransomware supone un desafío significativo para los equipos de ciberseguridad. Las empresas deben reforzar sus procesos de gestión de vulnerabilidades, invertir en automatización de la respuesta ante incidentes y revisar sus planes de continuidad de negocio. Para los usuarios, la concienciación y la formación en ciberhigiene se consolidan como la primera línea de defensa.

Conclusiones

El panorama del ransomware en Gipuzkoa durante el último trimestre de 2025 refleja una amenaza en constante evolución, impulsada por la sofisticación de los grupos criminales y la explotación de vulnerabilidades críticas. La colaboración entre entidades públicas, privadas y centros de ciberseguridad como ZIUR resulta esencial para anticipar y mitigar el impacto de estos ataques, en un escenario donde la resiliencia y la adaptación son claves.

(Fuente: www.cybersecuritynews.es)